サイバー攻撃

2019年の10大セキュリティ脅威を読み解く

Written by 中本 琢也

経営企画部にて、海外展開、新規企画、広告宣伝を推進。日本とアメリカ両方の目線からセキュリティ情報の発信を目指します。

2019年の10大セキュリティ脅威を読み解く

目 次

・「情報セキュリティ10大脅威」とは?
・サプライチェーンの弱点を悪用した攻撃の高まり(2019年初登録 4位)
・脅威に対応するためのセキュリティ人材の不足(2019年ランク外)
・内部不正による情報漏えい(2019年5位 3ランクアップ)
・最後に

2019年1月30日に、情報処理推進機構(以下 IPA)が「情報セキュリティ10大脅威 2019」を発表しました。「情報セキュリティ10大脅威」は毎年IPAから発表されており、その年のセキュリティ対策方針を考えるうえで重要なインプットとなります。今回は、発表された2019年の10大脅威の紹介と重要な項目について読み解いていきたいと思います。

「情報セキュリティ10大脅威」とは?

はじめて「情報セキュリティ10大脅威」という言葉を聞いた方もいると思いますので、IPAのサイトに記載されている紹介文を抜粋します。

「情報セキュリティ10大脅威 2019」は、2018年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約120名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。
? IPA WEBサイト「情報セキュリティ10大脅威 2019」より

上記にある通り、情報セキュリティに関する専門家と実務担当者によって決められており、エムオーテックスからも3名が選考委員のメンバーとして10大脅威選考会に参加しております。

2018年と2019年の10大脅威の推移▲ 2018年と2019年の10大脅威の推移

上記の図は、2018年と2019年の組織に対する10大脅威の推移を表しています。今回はこの中でも、大きな変化があった下記項目について読み解きたいと思います。

1.サプライチェーンの弱点を悪用した攻撃の高まり(2019年初登録 4位)
2.脅威に対応するためのセキュリティ人材の不足(2019年ランク外)
3.内部不正による情報漏えい(2019年5位 3ランクアップ)

全項目の詳細な説明については、IPAのサイトをご確認下さい。
? IPA WEBサイト「情報セキュリティ10大脅威 2019」より

サプライチェーンの弱点を悪用した攻撃の高まり
(2019年初登録 4位)

最初にご紹介するのが2019年に初めてランクインした「サプライチェーンの弱点を悪用した攻撃の高まり」です。サプライチェーンという言葉が聞きなれないかもしれませんが、元々はコンピューターメーカーなどの製造業を中心とした製品に対する、「原材料調達→生産管理→物流→販売」までを一つの連続したシステムとして捉えたときの名称となります。サプライチェーンの弱点を悪用した攻撃は、サプライチェーン攻撃とも言われており、その攻撃手法は製品(ハードやソフト)が作られる過程のどこかのタイミングでマルウェアに感染させ、攻撃に利用します。このサプライチェーンには、業務委託先の組織も含まれるため、自社のセキュリティ対策だけでなく委託先組織のセキュリティ対策も重要になります。
サプライチェーン攻撃の例としては下記などがあります。

例 1
Webサイトの運営を外部委託していたが、委託先のID・パスワードの管理が不十分な為、不正アクセスが行われた

例 2
委託先の従業員が依頼元の機密情報を含むPCを紛失

例 3
人気フリーツールを改ざんし、不正な動作を行う処理を不正に追加

これらサプライチェーン攻撃への対策は、再委託や再々委託先まで影響するため管理が困難になっており、逆に攻撃者からは狙いやすい穴となっています。
対策としては、自組織として委託先に求めるセキュリティ基準を作り、委託先の組織が設定した基準を満たしているのかを把握し、満たしていない組織に対しては改善の要求や場合によっては委託先を変えるなどが考えられます。
セキュリティ基準については、サイバーセキュリティ経営ガイドライン 2.0に掲載されている「サイバーセキュリティ経営チェックシート」なども参考になります。
? サイバーセキュリティ経営ガイドライン

脅威に対応するためのセキュリティ人材の不足
(2019年ランク外)

次にご紹介するのは、2018年の10大脅威で追加(5位)され、2019年の10大脅威ではランク外となった「脅威に対応するためのセキュリティ人材の不足」です。セキュリティ人材不足、というキーワードは良く耳にしますが、この背景には「2020年に約19.3万人の情報セキュリティ人材が不足する」という経済産業省による調査があります。実際、皆様の組織でもセキュリティ人材が足りていないと感じられている方が多いのではないでしょうか。そんな中で今回の10大脅威から人材不足がランク外となった背景には、人材不足は社会的な問題(脆弱性)ではあるが、人材不足が情報システムに対する直接的な脅威にはならないのではないか、という議論があります。
直接的な脅威ではないものの、日本の労働者の絶対数が徐々に減少していることは事実であり、セキュリティ人材含めた人的リソースの確保や自組織での育成、外部のサービスの活用など中長期的な計画が必要となってきます。
2019年の10大脅威でも、「情報セキュリティの人材不足を考える」というコラムが掲載されています。

内部不正による情報漏えい(2019年5位 3ランクアップ)

最後にご紹介するのは、昨年から3ランクアップした「内部不正による情報漏えい」です。
10大脅威の内、8個は外部からの脅威に関する項目と外部脅威が多くを占めていますが、組織のセキュリティ対策としては、外部脅威と合わせて組織内部に存在する脅威に対して注目し適切な対策と管理を行うことが重要になります。
組織内部の対象には自組織だけでなく、グループ会社や子会社、海外拠点など自組織と関連会社に対する対策が求められています。
2019年は働き方改革の一環として、場所や時間に捕らわれない働き方(テレワーク)の実現に向けてクラウドサービスの導入や利用が進むと考えられます。クラウドサービスの活用により利便性・生産性の向上が期待されますが、個人アカウントの利用による意図せぬ情報漏えいや、情報持出し経路増加などへの適切なセキュリティ対策が重要となってきます。

最後に

今回は2019年の10大脅威をご紹介しました。10大脅威の資料にも書かれていますが、セキュリティ対策は各組織で何を優先すべきか、が違います。10大脅威についても、この10個だけ対策すればよいのではなく、自組織のセキュリティ対策を進める上での参考として一読いただければ幸いです。